《网络安全技术》第8章计算机病毒防范课件

1、第8章 计算机病毒防范主编贾铁军 副主编陈国秦 苏庆刚 沈学东编著 王坚 王小刚 宋少婷上海教育高地建设项目高等院校规划教材网络安全技术及应用（第2版）上海市精品课程 网络安全技术第1页，共41页。目 录 8.2 计算机病毒的构成与传播28.3 计算机病毒的检测清除与防范38.4 恶意软件的危害与清除 4 8.1 计算机病毒概述1 8.5 360安全卫士及杀毒软件应用实验 5 8.6 本章小结6第2页，共41页。目 录教学目标 了解计算机病毒发展的历史和趋势 理解病毒的定义、分类、特征、结构、传播方式和病毒产生 掌握病毒检测、清除、防护、病毒和防病毒的发展趋势 掌握恶意软件概念、分类、防护和清

2、除 掌握360安全卫士及杀毒软件应用实验重点重点第3页，共41页。8.1 计算机病毒概述8.1.1 计算机病毒的概念及发展 1. 计算机病毒的概念 计算机病毒（Computer Virus）在中华人民共和国计算机信息系统安全保护条例中被明确定义为：是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 海湾战争中用网络病毒攻击取得重大战果。据报道，1991年的海湾战争是美军主导参加的一场大规模局部战争。美国在伊拉克从第三方国家购买的打印机里植入可远程控制的网络病毒，在开战前，使伊拉克整个计算机网络管理的雷达预警系统全部瘫痪，并首次

3、将大量高科技武器投入实战，取得了压倒性的制空、制电磁优势，也是世界首次公开在实战中用网络病毒攻击取得的重大战果，强化了美军在该地区的军事存在，同时为2003年的伊拉克战争奠定基础。 案例8-1第4页，共41页。2. 计算机病毒的发展计算机病毒发展主要经历了五个重要的阶段。 计算机病毒的概念起源。在第一部商用计算机推出前，计算机先驱冯诺依曼（John Von Neumann）在一篇论文中，曾初步概述了病毒程序的概念。美国著名的AT&T 贝尔实验室中，三个年轻人工作之余玩的一种“磁芯大战”（Core war）的游戏：编出能吃掉别人编码的程序来互相攻击。这种游戏，呈现了病毒程序的感染和破坏性。案例8

4、-28.1 计算机病毒概述第5页，共41页。下载2012，当心凶猛病毒. 计算机反病毒机构发布警示，随着灾难大片2012的热映，很多电影下载网站均推出在线收看或下载服务，一种名为“中华吸血鬼”变种病毒，被从一些挂马的电影网站中截获。3. 计算机病毒的产生原因 计算机病毒的起因和来源情况各异，有的是为了某种目的，分为个人行为和集团行为两种。有的病毒还曾为用于研究或实验而设计的“有用”程序，后来失制扩散或被利用。 计算机病毒的产生原因主要有4个方面：恶作剧型报复心理型版权保护型特殊目的型8.1 计算机病毒概述案例8-3第6页，共41页。4计算机病毒的命名方式 命名方式由多个前缀与后缀组合，中间以点

5、“”分隔，一般格式为： 前缀.病毒名.后缀。如振荡波蠕虫病毒的变种“Worm. Sasser. c”，其中Worm指病毒的种类为蠕虫，Sasser是病毒名，c指该病毒的变种。（1）病毒前缀（2）病毒名（3）病毒后缀 病毒名即病毒的名称，如“病毒之母”CIH病毒及其变种的名称一律为“CIH”，冲击波蠕虫的病毒名为“Blaster”。病毒名也有一些约定俗成方式，可按病毒发作的时间命名，如黑色星期五；也可按病毒发作症状命名，如小球；或按病毒自身包含的标志命名，如CIH；还可按病毒发现地命名，如耶路撒冷病毒；或按病毒的字节长度命名，如1575。案例8-48.1 计算机病毒概述第7页，共41页。8.1.

6、2 计算机病毒的特点 根据对病毒的产生、传播和破坏行为的分析，可将病毒概括为以下6 个主要特点。1. 传播性 传播性是病毒的基本特点。计算机病毒与生物病毒类似，也会通过各种途径传播扩散，在一定条件下造成被感染的计算机系统工作失常甚至瘫痪。2. 窃取系统控制权 当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户往往是未知的，未经用户允许。3. 隐蔽性 病毒程序很隐蔽与正常程序只有经过代码分析才能区别。4. 破坏性 侵入系统的任何病毒，都会对系统及应用程序产生影响。占用系统资源，降低计算机工作效率，甚至可导致系统崩溃，其破坏性多种多样。8.1 计算机病毒概述第8页，共

7、41页。5. 潜伏性 绝大部分的计算机病毒感染系统之后一般不会马上发作，可长期隐藏在系统中，只有当满足其特定条件时才启动其破坏代码，显示发作信息或破坏系统。6. 不可预见性 不同种类的病毒代码相差很大，但有些操作具有共性，如驻内存、改中断等。利用这些共性已研发出查病毒程序，但由于软件种类繁多、病毒变异难预见。8.1.3 计算机病毒的分类1以病毒攻击的操作系统分类以病毒攻击的操作系统分类攻击DOS系统的病毒攻击Windows系统的病毒攻击UNIX系统的病毒OS/2系统的病毒攻击NetWare系统的病毒8.1 计算机病毒概述第9页，共41页。2以病毒的攻击机型分类3按照病毒的链接方式分类 通常，计

8、算机病毒所攻击的对象是系统可执行部分，按照病毒链接方式可分为4种：8.1 计算机病毒概述第10页，共41页。4按照病毒的破坏能力分类 根据病毒破坏的能力可划分为4种：5按照传播媒介不同分类 按照计算机病毒的传播媒介分类，可分为单机病毒和网络病毒。6按传播方式不同分类 按照计算机病毒传播方式可分为引导型病毒、文件型病毒和混合型病毒3种。8.1 计算机病毒概述第11页，共41页。7以病毒特有的算法不同分类8. 按照病毒的寄生部位或传染对象分类 传染性是计算机病毒的本质属性，根据寄生部位或传染对象分类，即根据计算机病毒传染方式进行分类，有以下3种： 9. 按照病毒激活的时间分类 按照病毒激活时间可分

9、为定时的和随机的。根据病毒程序特有的算法分类伴随型病毒蠕虫型病毒寄生型病毒练习型病毒诡秘型病毒变型 病毒8.1 计算机病毒概述第12页，共41页。8.1.4 计算机中毒的异常症状 病毒的存在、感染和发作的特征表现可分为三类：计算机病毒发作前、发作时和发作后。通常病毒感染比系统故障现象更多些。1. 计算机病毒发作前的情况 计算机病毒发作前主要是以潜伏、传播为主。其常见的现象为： 1）突然经常性地死机 2）无法正常启动操作系统 3）运行速度明显变慢 4）经常发生内存不足现象 5）打印和通讯异常 6）经常出现非法错误 7）基本内存发生变化 8）应用程序时间及大小变异 9）无法另存为Word文档 10

10、）磁盘容量骤减 11）难以调用网络驱动器卷 或共享目录 12）陌生的垃圾邮件 13）自动链接到陌生网站8.1 计算机病毒概述第13页，共41页。2. 计算机病毒发作时的症状 1）提示 无关对话 2）发出声响3）产生图象 4）硬盘灯 不断闪烁 5）算法游戏6）桌面图标发生变化 7）突然重启 或死机8）自动 发送邮件9）自动 移动鼠标8.1 计算机病毒概述第14页，共41页。3. 计算机病毒发作的后果 恶性计算机病毒发作后的现象及造成的后果包括： 1）硬盘无法启动，数据丢失。 2）文件丢失或被破坏。 3）文件目录混乱。 4）BIOS程序混乱使主板遭破坏。 5）部分文档自动加密。 6）计算机重启时格

11、式化硬盘。 7）网络瘫痪，无法正常提供服务。讨论思考：（1）什么是计算机病毒？计算机病毒的特点有哪些？（2）计算机病毒的种类具体有哪些？（3）计算机中毒后所出现的情况怎样？8.1 计算机病毒概述第15页，共41页。 8.2 计算机病毒的构成与传播8.2.1 计算机病毒的构成结构计算机病毒种类很多，都由3个部分构成：引导 模块传播模块表现 模块 3)由两个部分构成，一是病毒的触发条件判断部分，二是病毒的具体表现部分。 2)是病毒程序的核心，主要功能是传播病毒，一般由两个部分构成，一是传播条件判断部分；二是传播部分。 1)功能是将病毒加载到内存中，并其存储空间进行保护，以防被其他程序所覆盖，同时修

12、改一些中断及高端内存、保存原中断向量等系统参数，为传播部分做准备。它也称潜伏机制模块，具有初始化、隐藏和捕捉功能。 我国网络遭受攻击近况。据国家互联网应急中心CNCERT监测和国家信息安全漏洞共享平台CNVD发布的数据，2014年2月10日至16日一周境内被篡改网站数量为8965个，比上周增长79.7%；境内被植入后门的网站数量为1168个；针对境内网站的仿冒页面数量为181个。其中，政府网站被篡改418个、植入后门的35个。感染网络病毒的主机数量约为69万个，新增信息安全漏洞280个。 案例8-4第16页，共41页。8.2.2 计算机病毒的传播1计算机病毒的传播方式和途径一、通过固定的计算机

13、硬件设备进行传播，如用ASIC芯片和硬盘传播;二、通过移动存储设备传播，其中U盘和移动硬盘是使用最广泛、移 动最频繁的存储介质，也成了病毒寄生的“温床”；三、通过网络进行传播，现在已成为病毒的第一传播途径；四、通过点对点通信系统和无线通道传播。病毒传播途径为： 8.2 计算机病毒的构成与传播第17页，共41页。2计算机病毒的传播过程 病毒被动传播的过程是随着复制磁盘或文件工作进行的； 病毒主动传播的过程是在系统运行时，病毒通过病毒载体，由系统外存进入内存，并监视系统运行，在病毒引导模块将其传播模块驻留内存过程中，还将修改系统中数据向量入口地址。3系统型病毒传播机理 系统型病毒利用在启动引导时窃

14、取int 13H控制权，在整个计算机运行过程中实时监视磁盘操作，当读写磁盘的时读出磁盘引导区，判断磁盘是否中毒，如未中毒就按病毒的寄生方式将原引导区改写到磁盘的另一位置，而将病毒写入第一个扇区，完成对磁盘的传播。 int13H或int21H,可使数据向量指向病毒程序的传播模块。当系统执行磁盘读写操作或功能调用时，该模块被激活，判断传播条件满足后，利用系统int 13H读写磁盘中断将病毒传播给被读写的磁盘或被加载的程序，再转移到原数据服务程序执行原有操作。案例8-5 8.2 计算机病毒的构成与传播第18页，共41页。4文件型病毒传播机理 病毒执行被传播的可执行文件后进驻内存，并检测系统的运行，当

15、发现被传播目标时，先判断是否中毒；当条件满足，将病毒链接到可执行文件的首部或尾部，并存入磁盘；传播后继续监视系统运行，并试图寻找新目标。 主要传播途径有以下3种。 1）加载执行文件 2）列目录过程 3）新建文件过程8.2.3 计算病毒的触发与生存1计算机病机毒的触发机制 病毒的基本特性是感染、潜伏、可触发、破坏。感染使病毒传播，破坏性体现其杀伤力。触发性兼顾杀伤力和潜伏性，并可控制病毒感染和破坏的频度。 病毒的触发条件主要有7种: 时间触发、键盘触发、感染触发、启动触发、访问磁盘次数触发、调用中断功能触发、CPU型号/主板型号触发。2. 计算机病毒的生存周期 计算机病毒的产生过程分为程序设计传

16、播潜伏触发运行实行攻击。从产生到彻底根除，病毒拥有一个完整的生存周期。 开发期、传播期、潜伏期、发作期、发现期、消化期、消亡期 8.2 计算机病毒的构成与传播第19页，共41页。8.2.4 特种及新型病毒实例1特洛伊木马（1）特洛伊木马的特性 特洛伊木马（Trojan）病毒是一种具有攻击系统、破坏文件、发送密码和记录键盘等特殊功能的后门程序，其特性也已变异更新。 木马病毒使网络安全形势异常严峻。一款名为“母马下载器”的恶性木马病毒，集成了其他木马和病毒，执行后将生成数以千计的“子木马”，凭借其超强的“穿透还原”、“超快更新变异”和“反杀”能力，广泛流行且使众多查毒软件难以处理。同一台电脑，中毒

17、后也会随机出现不同的症状。案例8-6 8.2 计算机病毒的构成与传播第20页，共41页。（2）特洛伊木马的类型 破坏型、密码发送型、远程访问型、键盘记录木马、DoS攻击木马、代理木马、FTP木马、程序杀手木马、反弹端口型木马。 2013年发现手机木马Android.Hehe，可以阻止安卓设备上的来电和短信，并从受感染的设备上窃取信息。 2. 蠕虫病毒及新变种 蠕虫病毒Nimda是一种破坏力很强的恶意代码，在网络上传播蔓延快。中毒用户邮件的正文为空，看似无附件，实际上邮件中嵌入了病毒的执行代码，用户浏览时病毒被激活，复制到临时目录，并运行其副本。 谨防新型盗号木马。国家计算机病毒应急处理中心,2

18、013年12月通过对互联网的监测发现，近期出现恶意木马程序新变种TrojanGeneric.OJX。运行后获取系统路径，判断自身是否在系统目录下，如果不是则将自身拷贝到指定目录下并重命名，其文件名随机生成。该变种会打开受感染操作系统中服务控制管理器，创建服务进程，启动类型为自动。 案例8-7 8.2 计算机病毒的构成与传播第21页，共41页。 目前，全球感染量最大的“飞客”（Conficker）蠕虫，2009年下半年我国境内每月约有1800余万个主机IP受感染，占全球感染总量的30，占各国感染比例的第一位。3. 多重新型病毒 CodeRedII是一种蠕虫与木马双型的病毒。此新病毒极具危险，不仅

19、可修改主页，而且可通过IIS 漏洞可对木马上载和运行。先给自身建立一个环境并取得本地IP，用于分析为传播的子网掩码，判断当前操作系统，之后根据判断增加线程。 2009年出现一种蠕虫新变种Worm_Pijoyd.B 可感染操作系统中可执行文件、网页文件和脚本文件等，变种运行后生成一个动态链接库文件，使受感染操作系统中的文件保护功能失效，无法对变种自我复制的链接库文件修改，躲避被查杀进行自保护。然后，修改加载动态链接库文件的时间，并启动服务进程。案例8-8 8.2 计算机病毒的构成与传播第22页，共41页。4. CIH 病毒 CIH病毒属文件型恶性病毒，其别名为Win95.CIH、Win32.CI

20、H、PE_CIH，主要感染Windows可执行文件。CIH经历了多个版本的发展变化，发作日期为每年的4月26日或6月26日，而版本CIH V1.4的发作日期则被修改为每月的26日，改变后缩短了发作期限，增加了破坏性。当发作条件成熟时，将破坏硬盘数据，并可破坏BIOS程序。5.“U盘杀手”新变种 2009年发现新的“U盘杀手”新变种（Worm_ Autorun.LSK），运行后在受感染操作系统的系统目录下释放恶意驱动程序，并将自身图标伪装成Windows默认文件夹。变种可将其自身复制、隐藏、自我命名、诱骗点击运行变种文件。 瑞星“云安全”系统截2014年初截获了多种新型感染病毒，其特点为：病毒感

21、染能力强、可释放多个木马程序、变异快、可逃脱很多杀毒软件的查杀与监控。当用户从网上下载游戏、MP3、exe、flash等时，很可能带有病毒，用户运行后即可感染电脑中的其他文件。Win32.virut、Win32. BMW和Worm.Win32.viking是其中三个威力最强的感染型病毒 案例8-9 8.2 计算机病毒的构成与传播第23页，共41页。 新型U盘病毒瞄准WIN7。金山云安全中心发布预警称，新操作系统Windows上市后，已发现针对WIN7的病毒新变种。目前，感染量最高的U盘病毒“文件夹模仿者”系列，除了进行免杀处理外，还将所伪装的文件夹图标采用了WIN7的图标风格。其新变种实质上是

22、广告木马。它通过隐藏盘中的真实文件、并替换其中文件夹图标为自己图标的方式，诱使用户在每次查看文件时点击木马图标激活运行，弹出指向某些网站的IE窗口，才允许用户进入文件夹内。案例8-10讨论思考：（1）计算机病毒如何构成？计算机病毒传播方式有哪些？（2）计算机病毒的生存周期具体有哪些过程？（3）特洛伊木马的特性和类型有哪些？ 8.2 计算机病毒的构成与传播6. 磁碟机病毒主要危害主要症状主要防范方法第24页，共41页。 8.3 计算机病毒检测清除与防范8.3.1 计算机病毒的检测1特征代码法 特征代码法是检测已知病毒的最简单、开销较小的方法。其检测步骤为：采集中毒样本，并抽取特征代码，打开被检测

23、文件，然后搜索检查是否含病毒特征码。2校验和法 校验和法指在使用文件前或定期地检查文件内容前后的校验和变化的方法。既可发现已知病毒又可发现未知病毒，却无法识别病毒类和病毒名。3行为监测法 行为监测法是利用病毒的行为特征监测病毒的一种方法。病毒的一些行为特征比较特殊且具有其共性，监视程序运行，可发现病毒并及时报警。4软件模拟法 多态性病毒代码密码化，且每次激活的密钥各异，对比染毒代码也无法找出共性特征的稳定代码。目前，很多杀毒软件已具有实时监测功能，在预防病毒方面效果也很好。第25页，共41页。8.3.2 常见病毒的清除方法计算机系统意外中毒，需要及时采取措施，常用的处理方法是清除病毒：先对系统

24、被破坏的程度调查评估，并采取有效的清除对策和方法。杀毒后重启计算机，再用防杀病毒软件检查系统，并确认完全恢复正常。 8.3 计算机病毒检测清除与防范第26页，共41页。 8.3 计算机病毒检测清除与防范8.3.3 计算机病毒的防范 计算机病毒的防范重于检测和清除，这项系统工程，需要全社会的共同努力。国家依法打击病毒的制造者和蓄意传播者，并建立计算机病毒防治机构及处理中心，从政策与技术上组织、协调和指导全国的计算机病毒防治。通过建立计算机病毒防范体系和制度，实时检测及时发现计算机病毒的侵入，有效遏制病毒的传播和破坏，尽快恢复。 企事业单位应树立“预防为主”思想，制定出切实可行的管理措施，以防止病

25、毒传播，定期专项培训，提高计算机使用人员防毒意识。对于重要部门，专机专用；对于具体用户，一定遵守有关规则和习惯：配备杀毒软件并及时升级；留意安全信息，及时打好补丁；经常备份文件并杀毒一次；对外来文件和存储介质都应先查毒后使用；一旦遭到大规模的病毒攻击，应立即采取隔离措施，并向有关部门报告，再采取措施清除；不点击不明网站及链接；不使用盗版光盘；不下载不明文件和游戏等。个人用户也要遵守病毒防治的法纪和制度，不断学习、积累防毒知识和经验，养成良好的防毒习惯，不造毒不传毒。第27页，共41页。8.3.4 木马的检测清除与防范1.木马的检测方法（1）检测系统进程（2）检查注册表、ini文件和服务（3）检

26、测开放端口（4）监视网络通讯2.木马的清除方法（1）手工删除（2）杀毒软件清除3.木马的防范方法（1）堵住控制通路（2）堵住可疑进程（3）利用查毒软件 木马可在Win.ini和System.ini”run=”“load=” “shell=”后面加载,若在这些选项后的加载程序很陌生,可能就是木马.通常将“Explorer”变为自身程序名,只需将其中的字母”l”改为数字“1”,或将字母“o”改为数字“0”,不易被发现。 8.3 计算机病毒检测清除与防范 上海市经济和信息化委员会2013年8月23发布计算机病毒预报。 案例8-12案例8-11第28页，共41页。8.3.5 病毒和反病毒技术的发展趋势

27、1. 计算机病毒的发展趋势 计算机病毒技术发展变化很快，而且造成的影响更为广泛，从最早的单片机到现在的联网手机，并朝着网络化、智能对抗反病毒手段和有目的方向发展。一些新病毒更加隐蔽，针对查毒软件而设计的多形态病毒使查毒更难。 8.3 计算机病毒检测清除与防范 据瑞星网站报道2013年1至6月，瑞星“云安全”系统共截获新增病毒样本1,633万余个，病毒总体数量比去年下半年增长93.01%，呈现出一个爆发式的增长态势。其中木马病毒1,172万个，占总体病毒的71.8%，和去年一样是第一大种类病毒。新增病毒样本包括蠕虫病毒（Worm）198万个，占总体数量的12.16%，成为第二大种类病毒。感染型（

28、Win32）病毒97万个，占总体数量的5.99%，后门病毒（Backdoor）66万个，占总体数量的4.05%，位列第三和第四。恶意广告（Adware）、黑客程序（Hack）、病毒释放器（Dropper）、恶意驱动（Rootkit）依次排列，比例分别为1.91%、1.03%、0.62%和0.35%。 案例8-13第29页，共41页。2. 病毒防范技术的发展趋势病毒清除新技术和新发展主要体现在：讨论思考：（1）如何进行常见病毒的检测、清除、防范？（2）如何进行木马病毒的检测、清除和防范？（3）计算机病毒和防病毒技术的发展趋势是什么？1）实时监测技术2）自动解压缩技术3）跨平台反病毒技术4）云端杀

29、毒5）其他防范管理新方法完善产品体系及高病毒检测率功能完善的控制台减少通过广域网流量管理实时防范能力快速及时的病毒特征码升级主要包括 8.3 计算机病毒检测清除与防范第30页，共41页。 8.4 恶意软件的危害和清除8.4.1 恶意软件概述1恶意软件的概念2恶意软件的分类 按照恶意软件的特征和危害可以分为6类： （1）广告软件（Adware） （4）行为记录软件（Track Ware） （2）间谍软件（Spyware） （5）恶意共享软件（malicious shareware） （3）浏览器劫持 （6）其它“流氓软件” 恶意软件也称恶意代码是扰乱系统正常运行和操作的程序。广义上，计算机病毒也

30、是恶意软件的一种。狭义上恶意软件是介于病毒和正规软件之间。一般同时具有下载、媒体播放等正常功能和自动弹出、开后门、难清除等恶意行为。其共同的特征是未经用户许可强行潜入到电脑中，且无法正常卸载和删除，或删除后又自动生成，因此，也被称为“流氓软件”。第31页，共41页。8.4.2 恶意软件的危害与清除1. 恶意软件的危害 （1）强制弹出广告软件 （2）劫持浏览器 （3）后台记录 （4）强制改写系统文件2. 恶意软件的清除 利用恶意软件清除工具进行清理,如超级巡警病毒分析工具,恶意软件清理助手,超级兔子,Windows优化大师,金山清理专家等,其使用方法较为简单。 Windows 优化大师清除恶意软

31、件方法.Windows优化大师是一款功能强大的系统工具软件,提供了全面有效且简便安全的系统检测、优化、清理、维护四大功能模块和附加的工具软件。 案例8-14 8.4 恶意软件的危害和清除图8-1 Windows优化大师清理恶意软件界面讨论思考：（1）什么是恶意软件？指出其特征。（2）恶意软件的种类具体有哪些？（3）恶意软件的危害和清除方法有哪些？第32页，共41页。9.5 360安全卫士及杀毒软件应用实验 9.5.1 实验目的9.5.2 实验内容 1. 主要实验内容 360安全卫士及杀毒软件的实验内容： 360安全卫士及杀毒软件的主要功能及特点。 360安全卫士及杀毒软件主要技术和应用。 36

32、0安全卫士及杀毒软件主要操作界面和方法。 实验用时：2学时（90-120分钟） 2. 360安全卫士主要功能特点 360安全卫士主要功能：电脑体检。查杀木马。修复漏洞。系统修复。电脑清理。优化加速。电脑门诊。软件管家。功能大全。360安全卫士及杀毒软件的实验目的： 了解360安全卫士及杀毒软件的主要功能及特点。 理解360安全卫士及杀毒软件主要技术和应用。 掌握360安全卫士及杀毒软件主要操作界面和方法 第33页，共41页。3. 360杀毒软件主要功能特点 360杀毒软件和360安全卫士配合使用，是安全上网的黄金组合，可提供全时全面的病毒防护。360杀毒软件主要功能特点： 360杀毒无缝整合国际知名的BitDefender病毒查杀引擎和安全中心领先云查杀引擎。 双引擎智能调度，为电脑提供完善的病毒防护体系，不但查杀能力出色，而且能第一时间防御新出现的病毒木马。 杀毒快、误杀率低。以独有的技术体系对系统资源占用少，杀毒快、误杀率低。 快速升级和响应，病毒特征库及时更新，确保对爆发性病毒的快速响应。 对感染型木马